Articles

Konfigurera RADIUS-klienter

admin0
  • 08/07/2020
  • 6 minuter att läsa
    • J
    • e
    • j

Tillämpas på: Windows Server (Semi-Annual Channel), Windows Server 2016

Du kan använda det här avsnittet för att konfigurera nätverksåtkomstservrar som RADIUS-klienter i NPS.

När du lägger till en ny nätverksåtkomstserver (VPN-server, trådlös åtkomstpunkt, autentiserande växel eller uppringningsserver) i nätverket måste du lägga till servern som RADIUS-klient i NPS och sedan konfigurera RADIUS-klienten så att den kommunicerar med NPS.

Viktigt

Klientdatorer och -enheter, t.ex. bärbara datorer, surfplattor, telefoner och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar – t.ex. trådlösa åtkomstpunkter, 802.1X-kapabla växlar, VPN-servrar (Virtual Private Network) och uppringningsservrar – eftersom de använder RADIUS-protokollet för att kommunicera med RADIUS-servrar, t.ex. servrar för NPS-servrar (Network Policy Server).

Det här steget är också nödvändigt när NPS är medlem i en fjärr-RADIUS-servergrupp som är konfigurerad på en NPS-proxy. I det här fallet måste du förutom att utföra stegen i den här uppgiften på NPS-proxyn göra följande:

  • Konfigurera en fjärr-RADIUS-servergrupp som innehåller NPS på NPS-proxyn.
  • Konfigurera NPS-proxyn som en RADIUS-klient på fjärr-NPS.

För att kunna utföra procedurerna i det här avsnittet måste du ha minst en nätverksåtkomstserver (VPN-server, trådlös åtkomstpunkt, autentiserande växel eller uppringningsserver) eller NPS-proxy fysiskt installerad i nätverket.

Konfigurera nätverksåtkomstservern

Använd den här proceduren för att konfigurera nätverksåtkomstservrar för användning med NPS. När du distribuerar nätverksåtkomstservrar (NAS:er) som RADIUS-klienter måste du konfigurera klienterna så att de kan kommunicera med NPS:erna där NAS:erna är konfigurerade som klienter.

Den här proceduren innehåller allmänna riktlinjer för de inställningar som du bör använda för att konfigurera NAS:erna; för specifika instruktioner om hur du ska konfigurera den enhet som du distribuerar i nätverket, se dokumentationen för NAS-produkten.

För att konfigurera nätverksåtkomstservern

  1. I RADIUS-inställningarna på NAS:en väljer du RADIUS-autentisering på UDP-port (User Datagram Protocol) 1812 och RADIUS-redovisning på UDP-port 1813.
  2. I Autentiseringsserver eller RADIUS-server anger du din NPS med IP-adress eller fullständigt kvalificerat domännamn (FQDN), beroende på NAS-enhetens krav.
  3. I Secret eller Shared secret skriver du ett starkt lösenord. När du konfigurerar NAS-enheten som en RADIUS-klient i NPS kommer du att använda samma lösenord, så glöm inte bort det.
  4. Om du använder PEAP eller EAP som autentiseringsmetod konfigurerar du NAS-enheten så att den använder EAP-autentisering.
  5. Om du konfigurerar en trådlös åtkomstpunkt anger du en SSID (Service Set Identifier) i SSID, vilket är en alfanumerisk sträng som fungerar som nätverksnamn. Det här namnet sänds av åtkomstpunkterna till trådlösa klienter och är synligt för användare vid dina Wi-Fi-hotspots.
  6. Om du konfigurerar en trådlös åtkomstpunkt i 802.1X och WPA aktiverar du IEEE 802.1X-autentisering om du vill distribuera PEAP-MS-CHAP v2, PEAP-TLS eller EAP-TLS.

Lägg till nätverksåtkomstservern som en RADIUS-klient i NPS

Använd den här proceduren för att lägga till en nätverksåtkomstserver som en RADIUS-klient i NPS. Du kan använda den här proceduren för att konfigurera en NAS som en RADIUS-klient med hjälp av NPS-konsolen.

För att kunna slutföra den här proceduren måste du vara medlem i gruppen Administratörer.

För att lägga till en nätverksåtkomstserver som en RADIUS-klient i NPS

  1. På NPS klickar du på Verktyg i Serverhanteraren och sedan på Nätverksprincipserver. NPS-konsolen öppnas.
  2. Du dubbelklickar på RADIUS-klienter och -servrar i NPS-konsolen. Högerklicka på RADIUS-klienter och klicka sedan på Ny RADIUS-klient.
  3. I Ny RADIUS-klient kontrollerar du att kryssrutan Aktivera den här RADIUS-klienten är markerad.
  4. I Ny RADIUS-klient skriver du ett visningsnamn för NAS:en i Vänligt namn. I Adress (IP eller DNS) skriver du NAS:ens IP-adress eller fullständigt kvalificerade domännamn (FQDN). Om du anger FQDN klickar du på Verifiera om du vill kontrollera att namnet är korrekt och mappas till en giltig IP-adress.
  5. I Ny RADIUS-klient, i Leverantör, anger du NAS-tillverkarens namn. Om du inte är säker på NAS-tillverkarens namn väljer du RADIUS-standard.
  6. I Ny RADIUS-klient gör du något av följande i Delad hemlighet:
    • Säkerställ att Manuellt är valt och skriv sedan i Delad hemlighet det starka lösenordet som också anges på NAS-enheten. Skriv om den delade hemligheten i Bekräfta delad hemlighet.
    • Välj Generera och klicka sedan på Generera för att automatiskt generera en delad hemlighet. Spara den genererade delade hemligheten för konfiguration på NAS-enheten så att den kan kommunicera med NPS.
  7. I Ny RADIUS-klient, i Ytterligare alternativ, om du använder andra autentiseringsmetoder än EAP och PEAP och om din NAS-enhet har stöd för användning av attributet för autentisering av meddelanden, markerar du Meddelanden om åtkomstbegäran måste innehålla attributet för autentisering av meddelanden.
  8. Klicka på OK. Din NAS visas i listan över RADIUS-klienter som konfigurerats på NPS.

Konfigurera RADIUS-klienter efter IP-adressintervall i Windows Server 2016 Datacenter

Om du kör Windows Server 2016 Datacenter kan du konfigurera RADIUS-klienter i NPS efter IP-adressintervall. På så sätt kan du lägga till ett stort antal RADIUS-klienter (t.ex. trådlösa åtkomstpunkter) i NPS-konsolen på en gång, i stället för att lägga till varje RADIUS-klient individuellt.

Du kan inte konfigurera RADIUS-klienter efter IP-adressintervall om du kör NPS på Windows Server 2016 Standard.

Använd den här proceduren om du vill lägga till en grupp nätverksåtkomstservrar (NAS:er) som RADIUS-klienter som alla är konfigurerade med IP-adresser från samma IP-adressintervall.

Alla RADIUS-klienter i intervallet måste använda samma konfiguration och delad hemlighet.

För att kunna slutföra den här proceduren måste du vara medlem i gruppen Administratörer.

För att konfigurera RADIUS-klienter per IP-adressintervall

  1. Klicka på Verktyg i Serverhanteraren på NPS och klicka sedan på Nätverksprincipserver. NPS-konsolen öppnas.
  2. Du dubbelklickar på RADIUS-klienter och -servrar i NPS-konsolen. Högerklicka på RADIUS-klienter och klicka sedan på Ny RADIUS-klient.
  3. I Ny RADIUS-klient skriver du ett visningsnamn för samlingen av NAS-enheter i Vänligt namn.
  4. I Adress (IP eller DNS) skriver du IP-adressintervallet för RADIUS-klienterna med hjälp av CIDR-notation (Classless Inter-Domain Routing). Om IP-adressintervallet för NAS-enheterna till exempel är 10.10.0.0.0 skriver du 10.10.0.0.0/16.
  5. I New RADIUS Client anger du NAS-tillverkarens namn i Vendor. Om du inte är säker på NAS-tillverkarens namn väljer du RADIUS-standard.
  6. I Ny RADIUS-klient, i Delad hemlighet gör du något av följande:
    • Säkerställ att Manuell är valt och skriv sedan i Delad hemlighet det starka lösenordet som också anges på NAS-enheten. Skriv om den delade hemligheten i Bekräfta delad hemlighet.
    • Välj Generera och klicka sedan på Generera för att automatiskt generera en delad hemlighet. Spara den genererade delade hemligheten för konfiguration på NAS-enheten så att den kan kommunicera med NPS.
  7. I Ny RADIUS-klient, i Ytterligare alternativ, om du använder andra autentiseringsmetoder än EAP och PEAP, och om alla dina NAS-enheter har stöd för användning av attributet för autentisering av meddelanden, markerar du Meddelanden om åtkomstbegäran måste innehålla attributet för autentisering av meddelanden.
  8. Klicka på OK. Dina NAS-enheter visas i listan över RADIUS-klienter som konfigurerats på NPS.

För mer information, se RADIUS-klienter.

För mer information om NPS, se NPS (Network Policy Server).

Lämna ett svar

Din e-postadress kommer inte publiceras.